2012 implementacion de un sistema de gestión de seguridad de la nformacióN (sgsi) en la empresa social del estado imsalud






descargar 0.65 Mb.
título2012 implementacion de un sistema de gestión de seguridad de la nformacióN (sgsi) en la empresa social del estado imsalud
página1/4
fecha de publicación07.08.2015
tamaño0.65 Mb.
tipoDocumentos
m.exam-10.com > Documentos > Documentos
  1   2   3   4






IMPLEMENTACION DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA NFORMACIÓN (SGSI) EN LA EMPRESA SOCIAL DEL ESTADO IMSALUD


CRISTIAN JESUS OSORIO RUIZ
HAISSEN YAMID RAVELO PEREZ

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER

INGENIERIA DE SISTEMAS

SEGURIDAD INFORMATICA

SAN JOSE DE CUCUTA

2012

IMPLEMENTACION DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA NFORMACIÓN (SGSI) EN LA EMPRESA SOCIAL DEL ESTADO IMSALUD

CRISTIAN JESUS OSORIO RUIZ 1150250
HAISSEN YAMID RAVELO PEREZ 1150235
PRESENTADO A:
ING. JEAN POLO CEQUEDA OLAGO


UNIVERSIDAD FRANCISCO DE PAULA SANTANDER

INGENIERIA DE SISTEMAS

SEGURIDAD INFORMATICA

SAN JOSE DE CUCUTA

2012
CONTENIDO

INTRODUCCION

JUSTIFICACION

METODO

  1. PORGRAMACION DEL PROYECTO CON EL PERSONAL DE LA DIRECCION DE LA CLÍNICA SANTA ANA.



  1. DEFINIR EL ALCANCE, CONTROL DE ACTIVOS Y SEGURIDAD DE RECURSOS HUMANOS.

2.1. CONTROL DE ACTIVOS.

2.2. SEGURIDAD DE LOS RECURSOS HUMANOS.

2.3. ANÁLISIS DE VULNERABILIDADES A NIVEL DE ACCESO LÓGICO.

  1. GESTIÓN Y TRATAMIENTO DE LOS RIESGOS, SELECCIÓN DE LOS CONTROLES.



  1. AMENAZAS Y VULNERABILIDADES



  1. POLITICAS, PLANES Y PROCEDIMIENTOS DE SEGURIDAD


INTRODUCCION

La cantidad y la complejidad de la información siguen teniendo un aumento considerable y los profesionales de TI se enfrentan cada día a retos inimaginables para abordar las amenazas que persisten en la sociedad actual y que no muestran signos de desaceleración. Amenazas representativas, tales como el troyano Hydraq, se pueden seguir presentando indefinidamente en los ámbitos computacionales, causando pérdidas económicas significativas.

Debido a esto, las empresas necesitan proteger y reforzar su activo más valioso: “la información”. Esta necesidad se ve agravada, debido a que los datos de una empresa y su complejidad de análisis crecen exponencialmente, razón por la cual se requiere establecer una disciplina de seguridad que determine un perímetro para las debilidades del negocio. Es claro que las organizaciones han sido conscientes que la certificación representa un instrumento para demostrar que sus organizaciones poseen un SGSI con el fin de asegurar y controlar sus procesos de negocios y de misión crítica.
El trabajo descrito en el presente informe será desarrollado en la clínica Santa Ana, de la ciudad de San José de Cúcuta, a la cual se realizara un proceso de diagnóstico, a partir del cual se determinara si poseía los mecanismos y los procesos idóneos para proteger su información. Con base en esta situación, se decidió realizar un plan piloto para implementar políticas que se ajustaran a la norma ISO/IEC 27001, además se diseñara e implementara a futuro un sistema de información web que ayudara al equipo de stakeholders al levantamiento inicial de información q, al análisis de brechas y de gap; y que ayudara al auditor de la comunidad al seguimiento y gestión de cada uno de los procesos de la norma.

JUSTIFICACION

Para que la empresa social del estado Imsalud cumpla con sus objetivos de “Contribuir al desarrollo social del municipio mejorando la calidad de vida y reduciendo la morbilidad, la mortalidad, la incapacidad, el dolor y la angustia evitables en la población usuaria, en la medida en que esto este a su alcance, produciendo servicios de salud eficientes y efectivos, que cumplan con las normas de calidad establecidas, de acuerdo con la reglamentación que se expida para tal propósito”, y su misión de “Prestar servicios de salud del primer nivel de atención tanto a los usuarios del régimen subsidiado como particulares, vinculados y del régimen contributivo de manera eficiente, eficaz y oportuna, contribuyendo, por ende al mejoramiento continuo de la situación de salud y de la calidad de vida en el municipio de San José de Cúcuta” es necesario llevar a cabo un SGSI (Sistema de gestión de seguridad de la información) para proteger los activos (Personal externo, empleados internos, enfermeras, doctores, equipos tecnológicos, los sistemas de telecomunicaciones, sistemas de información y la información como tal) de la organización de todo tipo de amenazas, disminuyendo en alto grado las vulnerabilidades que existen en la organización y con esto los posibles riesgos que se presenten debido a estas.

Estas organizaciones tienen entre sus cometidos el preservar la información clínica íntegra y disponible para cuando sea necesaria, y accesible sólo a las personas autorizadas para ello, la informatización de la historia clínica, que contiene información del ámbito de la intimidad de las personas, el posible acceso a esa historia desde otros lugares en que pueda ser necesario para atender a ese paciente y la creación de bases de datos centralizadas, generan inquietud por la seguridad y confidencialidad de esa información entre los médicos. Éstos se preguntan si se puede garantizar que esos datos no llegarán a manos de quien pueda utilizarlos con otros fines que aquellos para los que fueron recogidos: diagnosticar y curar a los pacientes.

Por este motivo se hace vital crear un sistema de gestión de seguridad informática ajustado a los procedimientos organizacionales de la empresa.

METODO

  1. PORGRAMACION DEL PROYECTO CON EL PERSONAL DE LA DIRECCION DE LA CLÍNICA SANTA ANA.

Este proceso permitirá que la alta gerencia de la Clínica Santa Ana entendiera la importancia del proyecto piloto y la necesidad de su apoyo y del apoyo del recurso humano, factor vital para el inicio de la fase de levantamiento de información. Esta fase debe ser exitosa para mostrar los siguientes puntos; cumplimiento y rendimiento de la inversión de una forma eficaz, haciéndoles entender que si una organización cumple con la normatividad sobre protección de datos sensibles, privacidad y control de TI, los resultados a futuro mejorarían de forma sustancial el impacto estratégico de la compañía, y aunque represente un gasto considerable, genera así mismo a futuro un ROL y una ganancia financiera representados en incidentes o desastres informáticos.


  1. DEFINICION DEL ALCANCE, CONTROL DE ACTIVOS Y SEGURIDAD DE RECURSOS HUMANOS.



    1. CONTROL DE ACTIVOS

En este punto realizamos un inventario de los activos para tener un control más riguroso de los mismos. Toda la información y activos asociados a los recursos para el tratamiento de la información, deberían tener un propietario y pertenecer a una parte designada de la Clínica.
Para realizar un análisis de riesgos hay que ser parte del inventario de activos. Para determinar cuál era la situación actual de la Clínica, se realizara un análisis de gap, en cuyos resultados se mostrara gráficamente el porcentaje de procedimientos implantados a los activos de la Clínica.

    1. SEGURIDAD DE LOS RECURSOS HUMANOS

Tiene como objetivo asegurar que los empleados, médicos, enfermeras, contratistas y usuarios de terceras partes, entiendan sus responsabilidades y sean aptos para ejercer las funciones para las cuales están siendo considerados, con el fin reducir el riesgo de hurto, fraude o uso inadecuado de las instalaciones.

Para el análisis del control de activos y de la seguridad de los recursos humanos se trabajara con la metodología MAGERIT.
En la Clínica se aplicaran los siguientes pasos de MAGERIT:
Concientizar a los responsables de los SI respecto a la existencia de riesgos.

Ofrecer un método sistemático para analizar los riesgos a los que se ve expuesta la información.

Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.

Preparar a la Clínica para procesos de evaluación y auditorias.
Siguiendo con el alcance del proyecto, adicionalmente se trabajaron las siguientes capitulaciones:


    1. ANÁLISIS DE VULNERABILIDADES A NIVEL DE ACCESO LÓGICO

Concentra sus objetivos en la aplicación de procedimientos que resguarden el acceso a los datos y permisos a las personas autorizadas. Los procesos de esta capitulación se desarrollaron en el siguiente orden:


  • Realizar un análisis de brechas con el fin de definir la declaración de aplicabilidad.




  • Definir políticas y procedimientos aplicados al cumplimiento de la norma ISO/IEC 27001, en sus dominios 10 y 11 de acuerdo a lo establecido en la Declaración de aplicabilidad.



  • Aplicando la metodología OCTAVE, iniciar el proceso de análisis de riesgos, abarcando los procesos de valoración de activos, identificación de amenazas y vulnerabilidades, determinación de probabilidad de ocurrencia de una amenaza y valoración del riesgo intrínseco.



  • Entregar los resultados definitivos del análisis de riesgos, declaración de aplicabilidad, políticas y procedimientos.




  1. GESTIÓN Y TRATAMIENTO DE LOS RIESGOS, SELECCIÓN DE LOS CONTROLES.


La gestión de los riesgos es el proceso por el cual se controlan, minimizan o eliminan los riesgos que afectan a los activos de la organización. En este caso, luego de haber determinado los riesgos existentes en la organización, así como las medidas adecuadas para hacer frente a los mismos, se dispondrá de varias alternativas para afrontar estos riesgos: Eliminar, Transferir, Asumir o Mitigar el riesgo.
Todas las medidas implantadas se documentaran para permitir la gestión por parte de la organización. Una vez decididas las medidas que se aplicarían a los riesgos identificados, se realizara un nuevo análisis, el cual expondría el registro residual de la organización. Se definirán dos tipos de controles que se complementan: técnicos y organizativos. Los controles técnicos tendrán que quedar perfectamente documentados a través de procedimientos. Los controles organizativos pueden quedar documentados a través de procedimientos o políticas de seguridad.
Los controles seleccionados por la empresa Imsalud serán organizados en el documento de declaración de aplicabilidad. El SOA relaciona qué controles aplican en la organización y cuáles no. Para aquellos controles que sí aplican, se debe incluir los objetivos del control, la descripción, la razón para su selección, aplicación y la referencia al documento en el que se desarrolla su implementación. Se realizó una evaluación del análisis de brechas, que permitió evidenciar puntos críticos que se atacaron implementando control de riesgos, utilizando el estándar OCTAVE-S, cuyo énfasis está en proveer técnicas de apoyo en soluciones lógicas de acceso.
En la aplicación de OCTAVE en la Comunidad, el grupo de stakeholders participara integrando desde personal de áreas operativas y de negocios hasta el personal del departamento de TI, balanceando los tres aspectos: RIESGOS OPERATIVOS, PRÁCTICAS DE SEGURIDAD y PRÁCTICAS DE TECNOLOGÍA. Las fases desarrolladas utilizando OCTAVE fueron las siguientes: a) Enfoque Estratégico de la Comunidad, implementación de mejores prácticas y análisis de vulnerabilidades de la organización. b) Creación del modelo de vista tecnológica. c) Estrategias de protección y planes de mitigación

Finalizando esta parte del proceso, se procedió a la elaboración y definición de los puntos de control de dominio de monitoreo para la capitulación de monitoreo.

  1. AMENAZAS Y VULNERABILIDADES

La Vulnerabilidad es la capacidad, las condiciones y características del sistema mismo (incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de sufrir algún daño. En otras palabras, es la capacidad y posibilidad de un sistema de responder o reaccionar a una amenaza o de recuperarse de un daño. Desde el punto de vista de la entidad IMSALUD, existen amenazas de origen externo como por ejemplo las agresiones técnicas, naturales o humanos, sino también amenazas de origen interno, como la negligencia del propio personal o las condiciones técnicas, procesos operativos internos.

Generalmente se distingue y divide tres grupos; la Criminalidad: son todas las acciones causadas por la intervención humana, que violan la ley y que están penadas por esta, entendiéndose la criminalidad política como aquellas acciones dirigidas desde el gobierno hacia la sociedad civil. Los Sucesos de origen físico: son todos los eventos naturales y técnicos, sino también eventos indirectamente causados por la intervención humana y la Negligencia y decisiones institucionales: son todas las acciones, decisiones u omisiones por parte de las personas que tienen poder e influencia sobre el sistema. Al mismo tiempo son las amenazas menos predecibles porque están directamente relacionados con el comportamiento humano.

Entre las amenazas que difícilmente se dejan eliminar y son preocupantes están los virus de computadora, el robo de equipos personales, robos de celulares, mal manejo de equipos y programas, falta de respaldo, perdidas de contraseñas, rotación de personal, fallas de sistemas, amenazas o intimidaciones por información, Abuso de conocimientos internos, condiciones de incumplimiento de confidencialidad (interna y externa, es el caso cuando personas no autorizadas tienen acceso a información y conocimiento ajeno que pondrá en peligro nuestra misión, condiciones de incumplimiento de obligación jurídicas, contratos y convenios por parte del empleado).


  1. POLÍTICAS, PLANES Y PROCEDIMIENTOS DE LA EMPRESA PÚBLICA DEL ESTADO IMSALUD.

POLÍTICAS DE CONTROL DE ACCESO LÓGICO

OBJETIVO:

Proteger todo tipo de información almacenada en el software de Imsalud para que esta entidad del estado pueda seguir prestando sus servicios a la comunidad en general.

SANSIONES:

En caso de que algún miembro de la entidad acceda sin permiso alguno a la información y se lucre o realice actos indebidos, su caso será estudiado y sancionado por los miembros de la oficina de talento humano y la autoridad publica competente si es el caso. Si alguna persona ajena a la entidad en descubierta infraganti en estos actos será denunciada ante la autoridad competente. Lo anterior también aplica para el hurto de hardware, falsificación de documentos e información, fraudes en cualquiera de sus formas, lanzar cualquier software malicioso en el área de trabajo entre otras.

Cualquier violación a las políticas y normas de seguridad deberá ser sancionada. Las sanciones pueden ser desde una llamada de atención o informar al usuario hasta la cancelación del contrato dependiendo de la gravedad de la falta y de la malicia o perversidad que ésta manifiesta.

Políticas

PSICA1. Se establecerán claves de usuarios y se asignan de esta manera privilegios de acceso al sistema de información para cada uno de ellos dependiendo del cargo que estén ejerciendo dentro de la entidad de salud, de igual forma se hará con los particulares que se vinculen al sistema.
  1   2   3   4

Añadir el documento a tu blog o sitio web

similar:

2012 implementacion de un sistema de gestión de seguridad de la nformacióN (sgsi) en la empresa social del estado imsalud iconPor el cual se reglamenta el plan de beneficios en el Sistema Nacional...

2012 implementacion de un sistema de gestión de seguridad de la nformacióN (sgsi) en la empresa social del estado imsalud iconPrincipio de integralidad del sistema de seguridad social en salud

2012 implementacion de un sistema de gestión de seguridad de la nformacióN (sgsi) en la empresa social del estado imsalud iconAplica a todos los procesos del Sistema de Gestión de la Calidad,...

2012 implementacion de un sistema de gestión de seguridad de la nformacióN (sgsi) en la empresa social del estado imsalud iconSubcuenta del fondo de solidaridad y garantia del sistema general de seguridad social en salud

2012 implementacion de un sistema de gestión de seguridad de la nformacióN (sgsi) en la empresa social del estado imsalud iconSistema de Gestión de Seguridad de Información

2012 implementacion de un sistema de gestión de seguridad de la nformacióN (sgsi) en la empresa social del estado imsalud iconC. diputado juan carlos acosta rodríguez
«Contigo Vamos Seguridad, Justicia, Democracia y Buen Gobierno», teniendo como objetivo general, precisamente fortalecer la gestión...

2012 implementacion de un sistema de gestión de seguridad de la nformacióN (sgsi) en la empresa social del estado imsalud iconResolución de 13 de mayo de 2013, de la Secretaría de Estado de la...

2012 implementacion de un sistema de gestión de seguridad de la nformacióN (sgsi) en la empresa social del estado imsalud iconTema La empresa como institución central en nuestro sistema social...

2012 implementacion de un sistema de gestión de seguridad de la nformacióN (sgsi) en la empresa social del estado imsalud iconPor la cual se hacen algunas modificaciones en el Sistema General...

2012 implementacion de un sistema de gestión de seguridad de la nformacióN (sgsi) en la empresa social del estado imsalud iconSe denomina gestión ambiental o gestión del medio ambiente al conjunto...






© 2015
contactos
m.exam-10.com